Glossaire de l’exposition cyber

Les termes de la cybersécurité d’exposition, définis simplement — sans jargon inutile. Ces notions sont exactement celles que le scan gratuit Mon Rempart analyse sur votre domaine, de façon 100 % factuelle et non intrusive.

Exposition & surface d’attaque

Les notions de base : ce qu’un attaquant peut voir de vous.

Surface d’attaque
L’ensemble des points par lesquels un attaquant peut tenter d’entrer : sites, sous-domaines, services, ports ouverts, et configurations email et DNS visibles depuis Internet. Plus elle est large et mal maîtrisée, plus le risque est élevé.
Exposition cyber
Ce qu’une organisation laisse observer et potentiellement exploiter à partir d’informations publiques, sans y avoir été invitée. Réduire son exposition consiste à corriger les configurations faibles et à fermer ce qui n’a pas à être exposé.
Score de risque
Une note synthétique — ici sur 100 — qui agrège l’état de vos contrôles de sécurité observables. Un score n’est pas une garantie d’invulnérabilité : c’est un indicateur de priorisation, utile pour savoir par où commencer.
Dérive d’actifs (shadow IT)
L’apparition, au fil du temps, de sous-domaines, services ou outils exposés que plus personne ne surveille : site de test oublié, outil SaaS branché sur le domaine, sous-domaine d’un ancien prestataire… C’est l’une des sources de failles les plus fréquentes.
Cartographie d’actifs
L’inventaire de tout ce qu’une organisation expose sur Internet : domaines, sous-domaines, services. On ne protège que ce que l’on connaît — c’est le point de départ de toute démarche de maîtrise de l’exposition.

Web & HTTPS

La sécurité de vos sites et de la connexion des visiteurs.

HTTPS / TLS
Le protocole qui chiffre les échanges entre le navigateur et le site (TLS est le mécanisme, HTTPS son usage sur le web). Un HTTPS absent, mal configuré ou reposant sur un certificat expiré expose les données en transit et dégrade la confiance.
HSTS (Strict-Transport-Security)
Un en-tête HTTP qui force le navigateur à toujours utiliser HTTPS pour votre domaine, empêchant une rétrogradation vers du HTTP non chiffré. Une valeur max-age=0 le désactive et annule la protection.
En-têtes de sécurité HTTP
Des directives envoyées par le serveur (Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy…) qui durcissent le navigateur contre le détournement de clic, l’injection de contenu et les fuites d’information. Leur absence signale une configuration à renforcer.

Email & usurpation

Les trois enregistrements qui empêchent qu’on envoie des emails en votre nom.

SPF (Sender Policy Framework)
Un enregistrement DNS qui déclare quels serveurs sont autorisés à envoyer des emails pour votre domaine. Sans SPF — ou avec un SPF trop permissif (?all) — il devient beaucoup plus facile d’usurper votre domaine pour du phishing.
DKIM (DomainKeys Identified Mail)
Une signature cryptographique ajoutée à vos emails qui prouve qu’ils proviennent bien de votre domaine et n’ont pas été altérés en route. Une clé révoquée (p= vide) casse cette protection sans que rien ne le signale visuellement.
DMARC
La politique qui indique aux messageries quoi faire des emails qui échouent à SPF ou DKIM (ne rien faire, mettre en quarantaine, ou rejeter), et qui vous renvoie des rapports. C’est la clé de voûte contre l’usurpation d’identité par email.

DNS & domaine

La couche qui relie votre nom de domaine à vos services.

DNSSEC
Une extension qui signe cryptographiquement vos réponses DNS, empêchant qu’elles soient falsifiées en chemin (empoisonnement de cache). Elle reste absente sur la majorité des domaines, alors qu’elle protège contre le détournement de trafic.
CAA (Certification Authority Authorization)
Un enregistrement DNS qui restreint les autorités de certification autorisées à émettre un certificat TLS pour votre domaine — un garde-fou simple contre l’émission de certificats frauduleux en votre nom.
Certificate Transparency (CT)
Des journaux publics et infalsifiables recensant tous les certificats TLS émis. On peut y retrouver des sous-domaines et actifs oubliés d’une organisation : c’est ainsi qu’une partie de la cartographie d’actifs est réalisée, sans rien tester sur vos serveurs.
Sous-domaine
Une subdivision de votre domaine (ex. mail.exemple.fr, vpn.exemple.fr). Chaque sous-domaine exposé est une porte potentielle : les inventorier est la base d’une exposition maîtrisée.
Typosquatting (domaines sosies)
L’enregistrement de domaines proches du vôtre — fautes de frappe, extension différente, caractères ressemblants (homoglyphes) — pour tromper vos clients ou vos employés. C’est un vecteur classique de phishing et d’arnaque au président.

Menaces & vulnérabilités

Ce qui pèse sur vous depuis l’extérieur.

CVE (Common Vulnerabilities and Exposures)
L’identifiant standard mondial d’une vulnérabilité connue (ex. CVE-2024-1234). Détecter passivement la version d’un composant exposé (serveur web, CMS…) permet de savoir s’il est concerné par des CVE publiées.
Ports exposés
Les points d’entrée réseau accessibles depuis Internet : web (80/443), mais aussi bases de données, RDP, SSH… Un port ouvert n’est pas une faille en soi ; en revanche, un service d’administration exposé au public l’est très souvent.
Threat intelligence & réputation
La veille sur les menaces qui vous visent : présence de votre domaine ou de votre IP sur des listes noires (blacklists), avis de sécurité (CERT-FR)… Être blacklisté dégrade la délivrabilité de vos emails et signale souvent une compromission en cours.

Voir ces notions sur votre domaine

Le scan gratuit vérifie tous ces points en quelques secondes et vous rend un score de risque sur 100, sans inscription.

Scanner mon domaine gratuitement

Pour aller plus loin : comment choisir un outil de scan d’exposition.